Rakos botnet: az internet puskaporos hordója

A Rakos botnet erőt gyűjt, és nem tudni, hogy a mögötte álló kiberbűnözők mikor szánják rá magukat a támadásra. Mindenesetre már komoly erőforrások vannak a kezükben.
 

A Rakos botnet először tavaly decemberben hallatott magáról, amikor az ESET biztonsági kutatói felfedezték a hálózat kialakításában résztvevő kártékony kódot. Ennek legfontosabb jellemzője az volt, hogy kifejezetten Linux alapú rendszereket, számítógépeket, eszközöket állított célkeresztbe. A biztonsági szakemberek már akkor is jelezték, hogy a botnet gyorsan növekszik, és globális fenyegetést jelent annak ellenére, hogy spamelésben és elosztott szolgáltatásmegtagadási támadásokban sem kapott még szerepet. Mindez napjainkban is így van, ezért most sokan azt figyelik, hogy a botnet az egyre csak gyarapodó erőforrások (fertőzött eszközök) birtokában mikor aktivizálódik. Ha ez megtörténik, akkor legvalószínűbb, hogy elosztott szolgáltatásmegtagadásokban vesz majd részt, hasonlóan ahogy azt tavaly a Mirai botnet is tette.
 
A brazil Morphus Labs munkatársai igyekeztek feltérképezni a Rakos botnetet, olyan módon, hogy csali számítógépek (és honeypotok segítségével) bejutottak abba. Nem is kellett sokáig várniuk arra, hogy a rendszereikre rákerüljön a Rakos károkozó. Egy 72 órás folyamatos megfigyelést és monitorozást követően több mint 25 ezer egyedi IP-címen működő fertőzött számítógépet, illetve eszközt térképeztek fel, amelyek mind csak a botnetet irányító csoport parancsaira várnak. 
A Rakos botnet alapvetően két technikát ötvöz a működése során. Egyrészt vezérlőszerverekre épít, amelyekből legalább 300 működik világszerte. Ezek feladata, hogy a már kompromittált eszközökre IP-címlistákat küldjön, amik alapján további rendszereket lehet ostromolni. Másrészt pedig P2P technikák is szerephez jutnak, amikkel a botnet megbénítása nehezebbé válik. Ráadásul a kártékony hálózat meglehetősen gyorsan változik, aminek egyik oka, hogy a károkozó „csak” a rendszerek újraindításáig életképes. A kutatók szerint jelenleg a legtöbb fertőzött készülék Kínában, Vietnámban és Tajvanon működik. Európában pedig Franciaország, Olaszoroszág és Spanyolország a leginkább érintett.
 
A Rakos kapcsán fontos megjegyezni, hogy a hozzá kötődő ártalmas program leggyakrabban gyenge jelszavakkal védett, SSH-kapcsolatokon keresztül igyekszik felkerülni a kiszemelt rendszerekre. Az esetek 45 százalékában Raspberry Pi eszközöket támad. Gyakori célpontoknak számítanak még az OpenELEC-et futtató eszközök és a Ubiquiti Networks vezeték nélküli hozzáférési pontjai is.
 

"Úgy tűnik, hogy valakik eladásra vagy bérbeadásra készítik elő a hálózatot, és csak arra várnak, hogy az megfelelő méretűre duzzadjon"

- nyilatkozta Renato Marinho, a Morphus Labs kutatási igazgatója.